Pierwszy z artykułów o NIS2, ale z mojej perspektywy, gdzie nie straszę karami, tylko pokazuję, że można podejść inaczej, a wręcz trzeba to zrobić inaczej. Dlaczego inaczej? Dlaczego nie straszę karami? Bo w całym tym zgiełku informacji o NIS2 zatraca się idea, jaka stoi za wprowadzeniem NIS2, czyli określenie środków mających na celu osiągnięcie wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii (Art. 1 ust. 1 NIS2). Tylko tyle i aż tyle.
Co wiemy:
- 14 grudnia 2022 Parlament Europejski i Rada (UE) przyjęły NIS2.
- NIS2 ogłoszono w Dzienniku Urzędowym UE 27 grudnia 2022.
- Kraje członkowskie mają czas do 17 października 2024 na adopcję i publikację niezbędnych przepisów implementujących NIS2 do porządku prawnego.
- NIS2 ma zastąpić (18 października 2024) wysłużoną już Dyrektywę NIS przyjętą 16 lipca 2016 roku.
Spójrzmy na Dyrektywę z innej perspektywy niż kary. Tak, NIS2 nie składa się tylko z kar. A więc po co nam wysoki poziom cyberbezpieczeństwa? A po to, że jak pokazują ostatnie statystyki, mamy gwałtowny wzrost liczby cyberataków na podmioty nie tylko publiczne, ale i z sektora prywatnego. Ich wzrost zanotowano w związku z konfliktem na Ukrainie. Mówi się nawet o cyberwojnie czy odwecie państwa w związku z cyberatakami. Od działalności właśnie tych podmiotów niejednokrotnie zależy bardzo wiele usług czy produktów, z których korzystamy na co dzień lub które wspierają jakiś obszar naszej gospodarki. Dlatego też NIS2 rozszerza zakres podmiotów, które są nią objęte (o tym w kolejnym artykule), by jeszcze bardziej uszczelnić i ujednolicić system.
Żeby przybliżyć sobie ideę Dyrektywy, rozbijmy NIS2 na elementy „Złotego kręgu” Simona Sinka, który składa się z trzech elementów:
- Co? – Co chcemy osiągnąć
- Jak? – Jak chcemy osiągnąć nasze CO
- Dlaczego? – Dlaczego chcemy osiągnąć nasze CO
Pierwsze dwa elementy są nam podane wprost w NIS2, gdzie osiągnięcie wysokiego poziomu cyberbezpieczeństwa jest naszym CO. Naszym JAK będą zapisy samej dyrektywy wskazujące nam, co musimy zrobić. To JAK mamy osiągnąć nasze CO zostało np. określone w Artykule 21 Dyrektywy.
I tak na przykład: Aby osiągnąć wysoki poziom cyberbezpieczeństwa podmiotu krytycznego lub ważnego, wprowadzamy odpowiednie i proporcjonalne środki techniczne, operacyjne i organizacyjne. Idąc głębiej w Artykuł 21 ust. 2 Dyrektywa wskazuje podmiotom, co muszą zrobić, aby to JAK osiągnąć.
Czyli wprowadzając środki, o których pisałem wcześniej muszą:
- uwzględnić politykę analizy ryzyka i bezpieczeństwa systemów informatycznych;
- zapewnić obsługę incydentów;
- uwzględnić ciągłość działania.
To tylko kilka przykładów i jest tego dużo więcej do rozważenia oraz wdrożenia w podmiotach objętych Dyrektywą NIS2.
Pozostaje nam określenie naszego DLACZEGO. Inaczej mówiąc DLACZEGO chcemy osiągnąć nasze CO. Bez tego nasze wdrożenie może się skończyć na podpisaniu kilku papierków i utworzeniu kolejnego segregatora, który nazwiemy NIS2 i postawimy obok segregatora RODO. Nasze DLACZEGO w tym przypadku możemy określić z perspektywy Unii Europejskiej i jej Państw członkowskich, samego podmiotu, który będzie wdrażał u siebie NIS2 aż w końcu od strony zwykłego użytkownika czy może raczej klienta usług podmiotu.
Jeżeli spojrzymy na wydarzenia ostatniego czasu właśnie powiązane z cyberbezpieczeństwem to na naszym krajowym rynku mamy choćby rekordowy atak DDoS zanotowany przez zespół CERT Orange, który mógł doprowadzić do całkowitego wyłączenia atakowanego klienta i niedostępności jego usług. Inny przykład z grudnia 2022 roku to atak typu ransomware na systemy Elektronicznego Zarządzania Dokumentami w jednostkach publicznych z prawdopodobieństwem wycieku danych z tych systemów. Sprawa może być o tyle rozwojowa, że potencjalnie incydentem mogą być objęte setki jednostek publicznych. Tu też ukazuje się nam powiązanie NIS2 z innymi regulacjami prawnymi, w tym RODO, gdzie te dwie regulacje będą się zazębiały i uszczegóławiały.
Patrząc od strony Unii Europejskiej może tu zaistnieć problem w łańcuchu dostaw i niedostępnością produktów na rynku europejskim czy brakiem możliwości świadczenia usług na rynku europejskim np. bookowania biletów na przeloty. Dla niektórych to jest katastrofa bo nie wylecą na wakacje z rodziną (prezes też nie dostanie paszportu i biletów) lub nie pojadą na badania co może odbić się na ich życiu i zdrowiu. Na nasze usługi patrzmy zawsze szerzej, nie tylko na koniec własnego nosa.
Jako podmiot chcemy zachować świadczenie usług czy też wytwarzanie produktów – od tego zależy nasz biznes. Ale spójrzmy też dalej na to kto korzysta z naszego produktu jaki jest łańcuch dostaw i powiązań. Dlatego też NIS2 dąży do wspólnego poziomu cyberbezpieczeństwa zauważając te powiązania. Nie jesteśmy już samotną wyspą tylko łańcuchem powiązanych naczyń, które muszą ze sobą współpracować i patrzeć na całość.
No i nasz użytkownik końcowy – może być nim nasz pracownik, który dzięki pracy w naszym podmiocie ma środki na spłatę kredytu. A może klient, któremu nasz podmiot publiczny wyda pozwolenie na budowę domu. Tylko co jeśli podmiot padnie pod nawałem ataków a urząd nie będzie świadczył swoich usług? Nie będzie raty kredytu ani wymarzonego domu bo urząd nie był w stanie się obronić przed cyberatakiem. Nasze zaniechania mogą wręcz doprowadzić do śmierci konkretnej osoby jak miało to miejsce w przypadku ataku na szpital w USA.
W świecie tak zależnym od informacji gdzie każdy z nas przegląda dziesiątki stron internetowych w poszukiwaniu aktualnych wiadomości ze świata i jego okolicy również chcemy wierzyć, że to co dostajemy jest informacją wytworzoną przez ten portal. Jak pokazuje ostatni atak na The Guardian, atakujący mieli dostęp do danych osobowych pracowników ale jeszcze nie wiemy jak daleko sięga ten atak z perspektywy wiarygodności informacji dostępnych na tej stronie. Coraz częściej ataki ransomware są tylko zasłoną dymną przed prawdziwym celem ataku – kto wie jak było tym razem.
Gdzie w tym wszystkim będzie nasze DLACZEGO? Może nim być zapewnienie dostępności do leków dla naszych klientów aby mogli funkcjonować w codziennym życiu. Może to też być zapewnienie funkcjonowania naszego podmiotu na określonym poziomie aby zależne od niego inne podmioty mogły realizować swoje zadania (np. gdy dostarczamy nasze usługi dla szpitali i bez tej usługi one nie mogą funkcjonować). Wiążąc to z RODO naszym DLACZEGO staje się ochrona praw i wolności osoby poprzez zapewnienie wysokiego poziomu cyberbezpieczeństwa naszego podmiotu, usługi lub produktu. Naszym DLACZEGO na pewno nie powinno być unikanie samych kar bo jest to spojrzenie krótkowzroczne tak samo jak wdrożenie systemu NIS2 w wersji papierowej
Skończyło się mówienie, że czegoś nie zrobię dla klienta, pomimo że ma do tego prawo, a winą obarczymy komputery lub systemy teleinformatyczne. Ktoś te systemy zakupił, ktoś jest odpowiedzialny za ich zabezpieczenie i zachowanie ciągłości działania. Skończyło się zganianie winy na systemy i całe IT w firmie. Najwyższy czas na takie podejście do tematu, aby usługi były świadczone, biznes dalej zarabiał, a produkt był wytwarzany.
A jeżeli się nie skończyło, to naszym celem powinno być, aby się jak najszybciej skończyło lub ograniczyło.
[1] https://blog.checkpoint.com/2023/01/05/38-increase-in-2022-global-cyberattacks/
[2] https://cert.orange.pl/aktualnosci/543-9-gbps-kolejny-rekordowy-ddos
[4] https://www.pandasecurity.com/en/mediacenter/security/first-ransomware-death/
[5] https://www.theguardian.com/media/2023/jan/11/guardian-confirms-it-was-hit-by-ransomware-attack
Grafika pochodzi z portalu: https://unsplash.com/
